Doubletunnel

Что устанавливается на NanoPi

После настройки NanoPi работает как роутер: подключённые устройства получают доступ к туннелю автоматически — без установки приложений.

Коротко

  • Устанавливается Xray — open-source прокси-сервер в режиме прозрачного прокси
  • Настраивается локальная сеть — NanoPi раздаёт IP-адреса подключённым устройствам
  • Настраиваются правила маршрутизации — весь трафик прозрачно идёт через туннель
  • Применяются оптимизации производительности для максимальной скорости на ARM-процессоре
  • Опционально настраивается удалённый доступ для обслуживания

Прокси-сервер Xray

Устанавливается тот же Xray, что и на VPS-серверы, но в режиме клиента — он подключается к вашим входному и выходному узлам и пропускает через них весь трафик подключённых устройств.

  • Файлы Xray: /opt/xray/ (бинарник, конфиг, логи)
  • Служба автозапуска: /etc/systemd/system/xray.service

Пакеты: unzip, logrotate, iptables, iptables-persistent

Настройка локальной сети

NanoPi настраивается как шлюз для вашей локальной сети.

  • LAN-интерфейс получает статический IP (по умолчанию 192.168.77.1)
  • DHCP-сервер автоматически раздаёт адреса подключённым устройствам
  • DNS-запросы устройств тоже идут через туннель

Пакеты: isc-dhcp-server

Маршрутизация трафика

Настраиваются правила iptables, которые прозрачно перенаправляют весь TCP и UDP трафик от подключённых устройств через Xray. Устройства ничего не замечают — для них NanoPi выглядит как обычный роутер.

  • IPv6 на LAN отключается для исключения утечек трафика мимо туннеля

Оптимизации производительности

Для максимальной скорости на ARM-процессоре NanoPi применяются:

  • BBR — ускорение TCP (как и на VPS)
  • CPU в режиме максимальной производительности
  • Увеличенные сетевые буферы для обработки большого потока данных
  • Балансировка прерываний (irqbalance) — нагрузка распределяется по ядрам
  • Сетевые оптимизации (RPS, GRO/GSO) — ускорение обработки пакетов

Пакеты: cpufrequtils, irqbalance, ethtool

Удалённый доступ (опционально)

По вашему желанию настраивается обратный SSH-туннель через один из ваших VPS. Это позволяет нам удалённо подключаться к NanoPi для обслуживания и диагностики, даже если устройство находится за NAT.

  • Создаётся отдельный пользователь для туннеля
  • Используется SSH-ключ (без пароля)
  • Туннель автоматически переподключается при обрыве связи

Пакеты: autossh

Удаление

Для полного сброса NanoPi до исходного состояния:

sudo systemctl stop xray
sudo systemctl disable xray
sudo systemctl stop isc-dhcp-server
sudo systemctl disable isc-dhcp-server

sudo rm -rf /opt/xray
sudo rm /etc/systemd/system/xray.service
sudo rm /etc/logrotate.d/xray

sudo userdel xray
sudo groupdel xray
sudo apt remove --purge isc-dhcp-server

sudo systemctl daemon-reload
sudo reboot

После перезагрузки сетевые правила и оптимизации сбросятся.

Вопросы

Если у вас есть вопросы о настройке — напишите нам в @doubletunnelbot

Также смотрите: Что устанавливается на VPS серверы